25. Tätigkeitsbericht des LfDI Niedersachsen

Knowledge Base der Datenbeschützerin

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die niedersächsische Aufsichtsbehörde hat ihren jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Der CLOUD-Act

Der CLOUD-Act ist seit dem Jahr 2018 in Kraft. Der CLOUD-Act erlaubt US-Behörden den Zugriff auf Daten von US-ansässigen Unternehmen, auch mit Auslandssitz, zur Erleichterung der Strafverfolgung!

Ist der Zugriff zulässig?

Der CLOUD-Act ist (rechtlich) umstritten. Der CLOUD-Act steht auch im Konflikt mit der DSGVO. Diese erlaubt zwar den Datenzugriff von Behörden, aber nur sofern ein Rechtshilfeabkommen zwischen den Staaten vorliegt. Zwischen der EU bzw. in unserem Fall Deutschland liegt dieses Abkommen nicht vor.

Einzig Großbritannien hat derzeit ein Abkommen mit den USA geschlossen.

Der EDSA fordert deshalb eine Anpassung des CLOUD-Acts an die europäischen Standards. Zum aktuellen Zeitpunkt erfüllt der CLOUD-Act kein internationales Abkommen, da es mit jedem Staat einzeln zu beschließen ist.

Fazit des EDSA

Der EDSA hält die Datenherausgabe auf Grundlage des CLOUD-Acts für unzulässig.

Anmerkung der Datenbeschützerin

Sofern eine Anfrage einer (US-)Behörde eintrifft, ist es empfehlenswert die zuständige Aufsichtsbehörde zu kontaktieren, um dem Sachverhalt und das weitere Vorgehen in Zusammenarbeit abzustimmen.

Office 365 – datenschutzkonformer Einsatz möglich?

Der Bericht verweist in diesem Abschnitt auf die Untersuchung der DSK und deren Arbeitskreis.

Die Prüfung der DSK konnte im Jahr 2019 nicht abgeschlossen werden, da noch viele Fragen offen sind, die es seitens Microsoft zu klären gilt.

Insbesondere die Frage, zu welchem Zweck und auf welcher Rechtsgrundlage die Telemetriedaten an die Server in die USA übermittelt werden, gilt es noch abschließend seitens der DSK zu klären.

Anmerkung der Datenbeschützerin

Zum aktuellen Zeitpunkt ist der Einsatz von Microsoft Office 365 mit einem Risiko verbunden. Wie hoch das Risiko ist, ist von jedem selbst zu prüfen und einzuschätzen.

Anmerkung in eigenem Interesse

Dem Thema Cloud Nutzung und Datentransfer in die USA (gerade im Fall Microsoft) widmen wir ein eigenes Webinar. Schwerpunkt ist die Nutzung von Cloud Services, ganz besonders Office 365 und wie dies nach dem Wegfall des Privacy Shields zu handhaben ist.

Mehr zum Webinar finden Sie auf der Anmeldeseite zu unserer Webinarreihe oder direkt im Shop.

Webinarreihe Datenbeschützerin

Ratsinformationssysteme (RiS) rechtmäßig einsetzen

Zweck des RiS

Das RiS besteht zumeist aus einem nicht-öffentlichen und öffentlichen zugänglichen Teil.

Im internen Bereich wird das RiS vor allem zur Vereinfachung der Arbeit der Ratsmitglieder (Erstellung von Tagesordnungen und Einladungen, Ausfertigung von Beschlüssen etc.) eingesetzt.

Im öffentlich zugänglichen Teil werden Informationen und Entscheidungen an die Bürger zur Verfügung gestellt. Des Weiteren ist mit dem RiS eine Auswertung von personenbezogenen Daten möglich. Mit dem RiS lässt sich somit eine bürgernahe und transparente Kommunalpolitik gestalten.

Grundsätzliche Beachtung folgender Aspekte beim Einsatz eines RiS:

  • Datenverarbeitung nur erlaubt, wenn Einwilligung oder gesetzliche Grundlage vorhanden ist
  • Datensparsamkeit beachten!
  • Löschkonzept für Dokumente mit personenbezogenen Daten erstellen und umsetzen
  • TOMs definieren (Berechtigungskonzept im internen Bereich, Vergabe von Zugriffsrechten im internen Bereich)
  • Auftragsverarbeitungsvertrag mit externen Dienstleister abschließen
  • ggf. eine DSFA durchführen

Potentielle Gefahr für eine Datenpanne besteht vor allem in der unabsichtlichen Veröffentlichung von Dokumenten mit personenbezogene Daten. Auch die Veröffentlichung von Niederschriften mit Personenrückschluss kann eine Meldepflicht bei der Aufsichtsbehörde nach sich ziehen. Das LDI NRW empfiehlt vorab genau zu prüfen, welche Unterlagen und Dokumente an die Bürger veröffentlicht werden. Ggf. sind personenbezogene Daten zu anonymisieren und zu schwärzen.

Anmerkung der Datenbeschützerin

Des Weiteren ist das RiS im Verfahrensverzeichnis aufzunehmen und zu dokumentieren. Weiterhin sind die Bürger über die Datenverarbeitung im RiS mittels der Informationspflicht zu informieren.

Datenschutz in Schulen

Einsatz von WhatsApp zur Kommunikation

Die Nutzung von WhatsApp zur schulischen Kommunikation ist aus datenschutzrechtlicher Sicht nicht möglich. Der Datenschutzbeauftragte veröffentlichte vor dem Bericht ein „Merkblatt für die Nutzung von WhatsApp in Schulen“.

Die Prüfung des LDI NRW ergab, dass nur noch vereinzelt Schulen WhatsApp zur Kommunikation einsetzen; ein Großteil nutzt andere Alternativen.

Anmerkung der Datenbeschützerin

Die Nutzung von WhatsApp in der Privatwirtschaft ist ebenfalls mit einem Risiko behaftet. Weitere Informationen zum Einsatz von WhatsApp in Unternehmen finden Sie hier.

Einsatz von privaten Endgeräten von Lehrkräften

Der Einsatz von privaten Endgeräten von Lehrkräften wurde mittels des Runderlasses stark reglementiert. Nur wenn die Voraussetzungen der Vorgabe eingehalten werden, ist der Einsatz von privaten Endgeräten zulässig.

Vor allem die Speicherung von personenbezogene Daten ist auf privaten Endgeräten nicht erlaubt, sondern nur auf gesicherten Servern der Schule. Des Weiteren ist die Verarbeitung von sensiblen personenbezogener Daten auf dem privaten Endgerät nicht erlaubt.

Anmerkung der Datenbeschützerin

Grundsätzlich ist der Einsatz von privaten Mobilgeräten z.B. mittels einer BYOD-Richtlinie zu regulieren. In dieser können die verschiedenen Anforderungen und Voraussetzungen an das Endgerät definiert werden. Erfüllt ein Endgerät nicht die Voraussetzung, ist dies nicht für den geschäftlichen Einsatz zulässig.

Datenschutz in der Wirtschaft

Prüfung von 50 Unternehmen und das Ergebnis

Bei der sog. „Querschnittsprüfung“ wurden insgesamt 50 Unternehmen in Bezug auf die Umsetzung der DSGVO befragt. Insbesondere wurden Fragen zum Verfahrensverzeichnis (VVZ), Rechtsgrundlagen nach Art. 6 DSGVO, Betroffenenrechte, technischer Datenschutz, Datenschutzfolgenabschätzung (DSFA), Auftragsverarbeitung, Bestellpflicht eines Datenschutzbeauftragten und Meldepflichten an die Verantwortlichen gestellt.

Das Ergebnis der ersten Auswertung zeigte einen erheblichen Handlungsbedarf bei den befragten Unternehmen. Nach mehreren Prüfungsschritten und Auswertungen konnten eine Verbesserung von den meisten Unternehmen festgestellt werden. Nur 9 Unternehmen wiesen immer noch erhebliche Defizite auf.

Schlussfolgernd sieht die Behörde noch Handlungsbedarf bei sich selbst. Die Datenschutzbeauftragte von Niedersachsen wird das Informationsangebot auf der Webseite weiter ausbauen.

Anmerkung der Datenbeschützerin

Im Zweifel von datenschutzrechtlichen Belangen oder Sachverhalten ist es ratsam, die zuständige Aufsichtsbehörde zu kontaktieren und deren Rat einzuholen.

Weiterhin sollten regelmäßig die Informationen der zuständigen Aufsichtsbehörde gesichtet und bewertet werden.

Reklame ohne Ende – täglich grüßt die Werbeflut

Betroffene erhalten von vielen Unternehmen Werbung auf dem Postweg oder per E-Mail.

Die Zusendung von Werbung ist erlaubt, wenn

  • § 7 Abs. 3 UWG eingehalten wird (Bestandskunden, deren Daten im Zusammenhang mit einem Verkauf einer Dienstleistung oder Ware erlangt wurden) und
  • die Betroffenen bei der Datenerhebung darüber informiert wurden.

Bei Neukunden oder Interessenten ist der Versand der Werbung nur mit einer Einwilligung möglich.

Einsatz von Adresshändlern und -maklern

Der Einsatz von Adresshändlern ist insofern möglich und unbedenklich, sofern die Informationspflichten nach Art. 13 und Art. 14 DSGVO bewahrt werden.

Anmerkung der Datenbeschützerin

Weiter Informationen zum Thema Werbung, insbesondere dem § 7 Abs. 3 UWG finden Sie in unserem Blogartikel.

GPS-Ortung

Den Sachverhalt über den Einsatz der GPS-Ortung entschied das Verwaltungsgericht Lüneburg.

In dem Urteil wurde festgehalten, dass nur die Daten der GPS-Ortung während der Arbeitszeit zur Tourenplanung, Nachweis- und Abrechnungszwecken gegenüber dem Kunden verarbeitet werden dürfen.

Anmerkung der Datenbeschützerin

Das Urteil des Verwaltungsgerichts Lüneburg und die weitere Erläuterung können Sie hier einsehen.

Telearbeit und mobiles Arbeiten

Das mobile Arbeiten von zu Hause oder von unterwegs birgt jedoch einige Gefahren und Risiken. Insbesondere unzureichende Schutzmaßnahmen (veraltete Systeme, Nutzung von offenen WLANs etc.) können zu Datenschutzpannen führen.

Die Verantwortlichen sind dazu angehalten, geeignet TOMs zu definieren und ein Sicherheitskonzept für die Telearbeit zu erstellen.

Sind Kontrollen zu Hause erlaubt?

Der Verantwortliche hat die Pflicht sich von den datenschutzrechtlichen Vorgaben und deren Einhaltung überzeugen zu können. Das bedeutet, das ein Zutrittsrecht zur Wohnung des Mitarbeiters vertraglich zu vereinbaren ist. Des Weiteren sollte der DSB ebenfalls mit eingebunden werden.

Anmerkung der Datenbeschützerin

Neben den datenschutzrechtlichen Vorgaben im Home-Office, können auch arbeitsrechtliche Gegebenheiten (z.B. Anzahl der Tage) einfließen. Eine Mustervorlage zur „Home-Office-Vereinbarung“ finden Sie hier.

Videoüberwachung

Kamera-Attrappe vorgetäuscht

Die Aufsichtsbehörde erreichte ein Beschwerde über die unzulässige Videoüberwachung. Die Behörde befragte den Verantwortlichen dazu. Dieser gab an, dass es sich bei der Videokamera um eine Attrappe handelt und somit keine Aufnahme und Verarbeitung personenbezogener Daten erfolgte.

Dies teilte die Behörde dem Beschwerdeführer, der darauf verwies, dass der Verantwortliche bereits Videomaterial in einem Gerichtsverfahren der besagten Kamera vorlegte.

Die Aufsichtsbehörde prüfte den Sachverhalt erneut und stellt fest, dass der Verantwortliche die Behörde getäuscht hatte. Des Weiteren zeichnete die Kamera Audio und Tonaufnahmen auf, filmte einen Teil der öffentlichen Straße auf und die Videoaufnahmen wurden für 60 Tage gespeichert. Weiterhin wurde die Informationspflicht nach Art. 13 DSGVO nicht eingehalten.

Neben den datenschutzrechtlichen Konsequenzen, kann auf Antrag auch ein Strafverfahren eingeleitet werden.

Videoüberwachung am Arbeitsplatz

Ob eine Videoüberwachung am Arbeitsplatz überhaupt zulässig ist, richtet sich nach § 26 BDSG-neu. Grundsätzlich ist jedoch eine permanenten Überwachung am Arbeitsplatz nicht zulässig, sofern keine strafrechtlichen Handlungen im Raum stehen.

Anmerkung der Datenbeschützerin

Das Thema Videoüberwachung führt in der Praxis immer wieder zu neuen Fragen. Sie erhalten in unserem Blogartikel weitere Informationen und Hinweise zum Thema Videoüberwachung.

Bilderveröffentlichung durch Vereine

Ob eine Einwilligung der Betroffenen einzuholen ist oder die Veröffentlichung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sind folgend Aspekte zu berücksichtigen:

  • Bei welcher Gelegenheit oder Event werden die Fotos angefertigt? Werden die Fotos auf einer öffentlichen Veranstaltung oder einem nichtöffentlichen Training angefertigt?
  • Wo werden die Fotos veröffentlicht (Printversion der Vereinszeitung, Homepage, Soziale Medien)?
  • Wer ist auf den Bildern zu sehen (Erwachsene, Kinder, etc.)?

Erlaubte Veröffentlichung ohne Einwilligung

Nach Ansicht der Aufsichtsbehörde können die Bilder von Erwachsenen in der Printversion der Vereinszeitung auf das berechtigte Interesse gestützt werden.

Bilder im Web sollten nur in einem zugangsbeschränkten Login-Bereich zur Verfügung gestellt werden, sofern keine Einwilligung der Beteiligten gewollt ist.

Veröffentlichung nur mit Einwilligung

Bei einer Veröffentlichung der Bilder im öffentlich zugänglichen Web ist eine Einwilligung der Betroffenen, unabhängig ob Kinder oder Erwachsene, einzuholen. Auch die Veröffentlichung in sozialen Medien ist nur mit einer Einwilligung möglich.

Fotos von Kindern sind nur in vereinzelten Fällen ohne Einwilligung möglich. Hier ist jedoch der Einzelfall zu betrachten (z.B. sportlicher Erfolg eines minderjährigen in der Berichterstattung). Ansonsten ist ebenfalls eine Einwilligung seitens des Erziehungsberechtigen einzuholen.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.